SHL全球数据处理附录

Last Updated: 6 June 2023

 

本 SHL 全球数据处理附录及其附件(“DPA”)为双方在SHL条款与条件(在本DPA中也称为“协议”)下我们代表您处理与SHL 产品和服务相关的个人数据的约定。

DPA是对协议的补充并构成协议的组成部分,并在其纳入协议时生效,本DPA可能在协议、订单或签署的对协议的修订中予以明确。如果与协议的条款有任何冲突或不一致,在此类冲突或不一致的范围内,本DPA将优先于协议的条款。

DPA的期限将与协议的期限一致。本DPA中未另行定义的术语将与协议中的定义有相同含义。就本DPA而言,公司将被称为“您”,SHL 将被称为“我们”。

1. 定义

“加州个人信息”是指受CCPA保护的个人数据。

CCPA”是指California Civil Code Sec. 1798.100 et seq. (也称为 2018 年加州消费者隐私法案)。
消费者”、“企业”、“销售”和“服务提供者”将具有 CCPA 中赋予它们的含义。
数据控制者”是指确定处理个人数据的目的和方式的个人、实体或其他机构,南非应包括南非个人信息保护法(POPIA)下的责任方;在中华人民共和国,数据控制者是指根据中华人民共和国个人信息保护法(PIPL)定义的数据处理者。
数据处理者”是指代表数据控制者处理个人数据的个人、实体或其他机构(数据控制者的雇员除外),南非应包括南非个人信息保护法(POPIA)下的运营方;在中华人民共和国,数据处理者是指中华人民共和国个人信息保护法(PIPL)中定义的受托人。
数据保护法”是指适用于协议项下相关处理个人数据的相关方的全球范围内所有与数据保护和隐私相关的法律,包括但不限于欧洲数据保护法;上述这些法律会不时修订、废除、合并或替换。
数据主体”是指与个人数据相关的个人。
欧洲”是指欧盟、欧洲经济区和/或其成员国、瑞士和英国。
欧洲数据”是指受欧洲数据保护法保护的个人数据。
欧洲数据保护法”是指适用于欧洲的数据保护法律,包括:(i)欧洲议会和理事会关于在处理保护自然人的个人或相关数据自由流动方面的条例 2016/679(通用数据保护条例)(“GDPR”);(ii)关于在电子通信领域处理个人数据和保护隐私的指令2002/58/EC; (iii) 针对(i)和(ii)所适用的国内实施;或(iii)就英国而言,因应英国退出欧盟,而在英国国内法中取代或转换 GDPR 或任何其他与数据和隐私相关的法律的任何国家立法;以及(iv) 1992 年 6 月 19 日的瑞士联邦数据保护法及其条例;在各情况下,上述各法律可能会被修改、取代或替换。
指示”是指数据控制者向数据处理者发出的书面记录的指示,指示其对个人数据执行特定或一般的行动(包括但不限于去标识化、阻止、删除、使其可使用的)。
获许可关联公司”是指您的任何关联公司 (i) 被允许根据协议使用产品和/或服务,但尚未与我们签署单独的协议,(ii) 有资格成为我们处理个人数据的数据控制者,并且 (iii) 受欧洲数据保护法的约束。
个人数据”是指您提供给我们的或在提供产品和/或服务的过程中由我们收集的任何数据或信息,这些数据或信息与可从该数据中识别的在世个人有关,但不包括聚合研究数据和基准.
个人数据泄露”是指与提供产品和/或服务有关的安全漏洞导致意外或非法破坏、丢失、更改、未经授权披露或访问由我们和/或我们的分包商传输、存储或以其他方式处理的个人数据。
个人数据泄露”不包括不影响个人数据安全的不成功尝试或活动,包括不成功的登录尝试、连网、端口扫描、拒绝服务攻击以及对防火墙或联网系统的其他网络攻击。
PIPL”是指自 2021 年 11 月 1 日起生效的《中华人民共和国个人信息保护法》以及与个人信息处理和隐私相关的任何其他适用法律或法规,此类立法会不时地修订、修正或替代。
PIPL 个人信息”是指受 PIPL 保护的个人信息。
POPIA”是指 2013 年《南非个人信息保护法》(2013 年第 4 号法案)以及与个人信息处理和隐私相关的任何其他适用法律或法规,此类立法会不时地修订、修正或替代。
POPIA 个人信息”是指受POPIA保护的个人信息。
处理”是指对个人数据执行的任何操作或一系列操作,包括收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或个人数据的组合、限制或删除。
SHL获许可关联公司”是指受准许处理个人数据的SHL关联公司,此关联公司是根据您使用SHL服务时选择的平台位置决定的。SHL获许可关联公司列表请参照:https://www.shl.com/legal/shl-permitted-affiliates/
标准合同条款”是指根据欧盟委员会 2021 年 6 月 4 日第 (EU) 2021/914  号批准的数据处理者标准合同条款,格式见 https://www.shl.com/legal/terms-and-conditions/shl-pre-signed-european-standard-contractual-clauses;可能会被修改、取代或替换。
第三方分包商”是指我们或我们的关联公司聘请的任何数据处理者,以协助我们在协议下,履行提供的产品和/或服务方面的义务。目前第三方分包商的列表请参照:https://www.shl.com/legal/security-and-compliance/platforms-sub-processors/

2.公司责任

2.1遵守法律在协议的范围内以及在您使用产品和/或服务时,您将负责遵守数据保护法以及您向我们发出的指示中适用您的的所有要求。特别是,但在不影响上述一般性的情况下,您承认并同意您将独自负责:(1)公司财产的准确性、质量和合法性以及您获取个人数据的方式;(2)遵守适用的数据保护法对收集和使用个人数据的所有必要的透明度和合法性要求,包括获得任何必要的同意和授权;(3)确保您有权根据协议(包括本DPA)的条款向我们传输或提供对个人数据的访问权以进行处理;(4)确保您向我们发出的有关处理个人数据的指示符合适用法律,包括数据保护法;(5)遵守所有适用法律(包括数据保护法)。如果您无法履行本2.1条约定的责任,您将无不当迟延地通知我们。

2.2数据控制者指示。双方同意协议(包括本DPA)以及您根据协议对产品和/或服务的使用,构成您就处理个人数据向我们发出的完整和最终指示,若有在指示范围外的其他额外指示,双方应事先达成书面协议。

3.SHL义务

3.1遵守指示。我们将仅出于本DPA中所述目的或在您的合法指示范围内处理个人数据,除非另有其他适用的法律要求并在要求的范围内。我们不负责适用于您或您所在行业但通常不适用于我们的任何数据保护法。我们应配合就您或通过您而向我们提供的个人数据而从您发出的请求(如适用),前提是此类请求不违反协议的条款。
3.2法律冲突。如果我们知晓由于任何适用法律的要求,我们无法按照您的指示处理个人数据,我们将 (1) 仅在法律适用的和允许的范围内,及时通知您该法律要求;(2)在必要时,停止所有处理(除了存储和维护受影响的个人数据的安全),直到您发出我们能够遵守的新指示。在本条适用时,于您发出新的合法处理指示之前,我们就任何未能提供和/或执行适用的产品和/或服务对您不承担协议下的责任。
3.3安全。我们将实施并维护有效的信息安全计划,该计划包括:(1)包括管理、技术和物理保护措施,以及(2)采取适当的技术和组织措施来保护个人数据免受个人数据泄露,如本DPA附件2所述(“安全措施”)。安全措施足以确保个人数据的安全性和机密性,并防止:(1) 对个人数据的安全性或完整性的预期威胁或危害,(2)未经授权访问或使用个人数据,(3)非法处理或未按照协议的方式处理,以及 (4)个人数据的意外丢失、破坏、损坏、更改或披露。安全措施应(至少)包括:(1) 实施数据保护法和/或协议规定的措施;(2) 采取合理措施确保访问个人数据的人员的可靠性; (3)实施和维持合理的处置措施,并对访问个人数据的人员进行培训。即使有任何相反的规定,我们将自行决定修改或更新安全措施,前提是此类修改或更新不会导致安全措施提供的保护出现实质性退化。
3.4保密性。我们将确保任何由我们授权以代表我们处理个人数据的人员对该个人数据承担适当的保密义务(无论是合同义务还是法定义务)。
3.5 个人数据泄露。我们将(i)在知晓任何个人数据泄露事件后无不当迟延地(最迟48小时内)通知您,并在其被知晓或您提出合理要求时提供与个人数据泄露事件有关的及时的信息;且(ii)未经公司事先许可,不向任何第三方通知公司的个人数据涉及到个人数据泄露事件,但不得不合理地扣留。我们将根据所适用的法律、法规和行业标准立即调查并采取适当的救济措施以减轻个人数据泄露的影响。如果您提出要求,我们将(i)及时向您提供必要的合理协助,使您能够将相关的个人数据泄露事件通知到主管当局和/或受影响的数据主体,如果数据保护法要求您这样做;且(ii)向您提供调查活动和补救行为的总结报告。
3.6 个人数据删除或返还。如果您提出书面指示,我们将根据该书面指示删除或返还所有公司财产,包括根据本DPA所处理的个人数据(及其副本),但此要求不适用于我们根据适用法律的要求应当保留的部分或全部公司财产的情形,也不适用于我们在备份系统中存档的公司财产,对于这些数据我们会安全地采取隔离和保护措施以避免任何进一步处理,并根据其删除惯例予以删除。

4. 数据主体请求

如果您提出书面请求,我们将为您提供合理的协助,以便您答复任何与协议项下个人数据处理有关的数据主体请求或数据保护当局提出的请求。您应当向我们报销因该协助而产生的商业上合理的费用。如果数据主体请求或有关协议项下个人数据处理的其他沟通直接向我们提出,我们将向数据主体提供标准答复,建议数据主体向您提交请求。您将全权负责对任何此类数据主体请求或涉及个人数据的沟通做出实质性答复。

5. 分处理者

您同意我们可以聘用第三方分处理者和SHL获许可关联公司(合称“分处理者”)代表您处理个人数据。如果您通过填写表格(详见https://www.shl.com/legal/security-and-compliance/)选择接收电子邮件提醒,我们将会事先通知您有关我们准备增加或减少分处理者的变更情况。如果聘用分处理者,我们将使其接受提供与本DPA(在适当的情况下包含标准合同条款)至少同等程度保护水平的数据保护条款,只要根据该分处理者所提供服务的性质能够适用。我们将继续对每个分处理者遵守本DPA项下义务负责,并对导致我们违反任何本DPA项下义务的分处理者的作为和不作为负责。

6. 数据转移

您承认并同意,出于根据协议提供产品和/或服务的必要,我们可以在全球范围内访问和处理个人数据,尤其是个人数据将被转移至分处理者营业地所在的法域并由SHL进行处理。我们将确保此类数据转移符合数据保护法的规定。

7.欧洲数据补充规定

7.1第7条的范围。本 “欧洲数据补充规定”条款仅适用于欧洲数据。

7.2  双方角色。在根据您的指示处理欧洲数据时,双方承认并同意,您是欧洲数据的数据控制者,我们是数据处理者。

7.3 指示。如果我们认为您的指示违反欧洲数据保护法(如适用),我们将仅在欧洲数据保护法适用和允许的范围内无迟延地通知您。

7.4 通知和反对新分处理者。我们将根据本DPA第5条所规定的通知机制向您通知任何有关分处理者的变更情况,在提供该通知后的30天内,您有机会以与个人数据保护有关的合理理由反对聘用新的分处理者。如果您确实向我们通知了此类反对,双方将善意就您的顾虑进行磋商,以期达成商业上合理的解决方案。如果无法达成解决方案,我们将自行决定不聘用新的分处理者或允许您根据协议的终止条款暂停或终止受影响的产品和/或服务,而不对任何一方承担责任(但不影响您在暂停或终止之前产生的任何费用)。

7.5 数据保护影响评估和与监管当局的咨询。如果所需信息在我们能够合理获取的范围内,且您无法以其他方式获取所需信息,我们将向您提供合理协助,在您合理要求的时间范围内进行任何数据保护影响评估,并在欧洲数据保护法要求的范围内与监管当局或其他数据隐私有权当局进行事先咨询。

7.6 数据转移的转移机制

(1) SHL不得将欧洲数据转移至任何未被认可为对个人数据提供(在适用的欧洲数据保护法的意义上)足够程度保护的国家或接收方,除非其首先采取所有必要措施确保数据转移能够符合所适用的欧洲数据保护法。这些措施可能包括(但不限于)将这些数据转移到一个由适当的法律框架或其他被有关当局或法院确认为能够对个人数据提供足够程度保护的法律上充分的转移机制所涵盖的接收方,转移到一个根据欧洲数据保护法取得有约束力的公司规则授权的接收方,或转移到一个在每种情况下根据适用的欧洲数据保护法采用或批准的已签署适当标准合同条款的接收方。

(2) 双方承认并同意下列内容:

(i) 标准合同条款:SHL同意遵守并按照标准合同条款处理欧洲数据。SHL集团已签订集团内部协议,其中包括在欧洲经济区以外处理个人数据的标准合同条款。如果公司提出要求,SHL和SHL获许可关联公司将作为代表公司的代理签订标准合同条款,以在欧洲经济区以外转移个人数据。

(ii) 双方同意:(i)仅为标准合同条款中的描述,SHL将被视为“数据输入方”,公司将被视为“数据输出方”(即使您本身可能位于欧洲之外和/或代表第三方控制者担任处理者);以及(ii)在且只在标准合同条款(如适用)与本DPA的任何规定产生冲突的范围内,标准合同条款将在该冲突范围内优先适用。

7.7 合规性证明。我们将提供所有合理的必要信息以证明我们遵守GDPR第29条(处理者)项下义务。您承认并同意我们届时的ISO27001认证将用于满足您或代表您所提出的任何审计或监察要求,如果您提出要求,我们将向您提供此类报告。此外,如果您提出书面要求,我们将就您为确认我们遵守本DPA项下义务而提出的所有合理的信息要求提供书面答复(在保密的基础上),前提是您在每个日历年行使该权利的次数不得超过一次。

8. 加州个人信息补充规定

8.1 第8条的范围。本DPA“加州个人信息补充规定”的条款将仅适用于加州个人信息。

8.2 双方角色。在根据您的指示处理加州个人信息时,双方承认并同意,根据《加州消费者隐私法》,您是企业,我们是服务提供者。

8.3 责任。双方同意,我们作为服务提供者将严格为履行协议规定的产品和/或服务(“商业目的”)或为《加州消费者隐私法》允许的其他目的处理加州个人信息。

9.POPIA个人信息补充规定

9.1 第9条的范围。本DPA “POPIA个人信息补充规定”条款将仅适用于POPIA个人信息。

9.2 双方角色。在根据您的指示处理POPIA个人信息时,双方承认并同意,根据POPIA,您是责任方,SHL是运营方。

9.3 责任。双方同意,SHL作为运营方将严格为履行协议规定的产品和/或服务(“商业目的”)或为POPIA允许的其他目的处理POPIA个人信息。

10. PIPL个人信息补充规定

10.1 第10条的范围。本DPA “PIPL个人信息补充规定”条款将仅适用于PIPL个人信息。

10.2 双方角色。在根据您的指示处理PIPL个人信息时,双方承认并同意,根据PIPL,您是数据处理者,SHL是受托人。

10.3 责任。双方同意,SHL作为受托人将严格为履行协议规定的产品和/或服务(“商业目的”)或为PIPL允许的其他目的处理PIPL个人信息。

11.一般规定

11.1 修订。即使协议中存在任何其他相反规定,在不影响本DPA的“遵守指示”或“安全”条款的情况下,我们保留对本DPA进行任何更新和修改的权利。

11.2 可分割性。如果本DPA的任何个别条款被认定为无效或不可执行,本DPA其他条款的有效性和可执行性将不受影响。

11.3 责任限制。根据协议,SHL因违反本DPA项下作为数据处理者所承担的义务而产生的累计责任总额将限于直接归责于SHL在提供产品和/或服务时的行为或未能遵守本DPA而导致的金额。以下损害应视为根据协议可获得赔偿的直接损害,只要它们是因SHL违反本DPA的行为直接导致的:(i)您调查和修复个人数据损坏所产生的任何成本和费用;(ii)您与法定强制性通知有关的任何费用;(iii)您因泄露被处以的罚金、罚款和利息;以及(iv)合理的律师费。

11.4 管辖法律。除数据保护法另外规定外,本DPA将由协议约定的法律和法域管辖和解释。

12. DPA缔约方

12.1 获许可关联公司。通过签署协议,您代表您自己,并在适用的数据保护法的要求范围内,以您的获许可关联公司的名义并代表它们签署本DPA,从而在我们和每个此获许可关联公司之间订立一个单独的DPA,并受协议和本DPA的 "一般规定 "和 " DPA缔约方"条款约束。每个获许可关联公司都同意受本DPA以及在适用范围内的协议规定的义务约束。仅就本DPA而言,除非另有说明,术语 "公司"、"您 "和 "您的 "将包括您和此获许可关联公司。

12.2 授权。作为同意本DPA的法律实体,公司陈述其有权为自己并代表自己和(如适用)其每个获许可关联公司同意并签订本DPA。

12.3 救济。除非适用的数据保护法要求获许可关联公司直接对我方行使本DPA项下的权利或寻求任何救济,否则各方同意:(i)只有作为协议签约方的公司实体将代表其关联公司行使任何获许可关联公司在本DPA下可能享有的任何权利或寻求任何救济,以及(ii)作为协议签约方的公司实体不会为每个获许可关联公司单独行使本DPA下的任何此类权利,而是以整合方式为自己和其所有获许可关联公司一并行使。作为签约方的公司实体负责协调与我们在DPA下的所有沟通,并将有权代表其获许可关联公司进行和接收与本DPA相关的任何沟通。

12.4其他权利。双方同意,您在根据“合规性证明”条款审查我们遵守本DPA的情况时,应将代表作为协议签约方的公司实体以及所有获许可关联公司而进行的若干审计请求合并为一次审计,并采取一切合理措施以限制对我们及我们关联公司的任何影响。 

DPA附件1  - 处理的细节

本附件构成DPA的一部分。

A: 处理的内容

SHL 产品和服务,即人才测评服务。

B: 处理的性质和目的

我们将根据协议提供产品和/或服务的必要,按照订单中的进一步规定以及您在使用产品和/或服务时的进一步指示处理个人数据。

数据主体将使用SHL的在线测评系统进行测评。 测评结果将被评估以产生测评报告和结果,SHL将向公司提供该报告。SHL可以根据公司的要求进行调查或其他处理操作。公司将有机会接触到参试者数据,包括测评结果和平台界面。

C: 处理的期限

根据本DPA的 "个人数据删除或返还"条款,我们将在协议期间处理个人数据,除非另有书面约定。

D: 数据主体的种类

您和您的最终用户在使用产品和/服务时可能会提交个人数据,其范围由您/他们自行决定和控制,可能包括但不限于与下列种类的数据主体有关的个人数据:

公司潜在雇员和/或雇员

E: 个人数据的种类

您和您的最终用户在使用产品和/服务时可能会提交个人数据,其范围由您/他们自行决定和控制,可能包括但不限于下列种类的个人数据:

  • 姓名、电子邮箱、性别、语言、公司ID、员工人口统计信息、对测评或调查的回复、录音、视觉图像
  • 您或您的最终用户在使用产品和/或服务时请求、提交、发送或接收的任何其他个人数据。

F: 特殊的数据种类(如适用)

双方预计不会转移特殊种类的数据。

G: 处理操作

个人数据将根据协议(包括本DPA)进行处理,并可能进行以下处理活动:

(a) 为提供、维护和改进向您提供的产品和/或服务所必需的存储和其他处理;和/或

(b) 根据协议(包括本DPA)和/或适用法律的强制要求进行披露。

DPA附件2 - 安全措施

目前我们遵守SHL信息安全政策中所描述的安全措施,详见:https://www.shl.com/legal/security-and-compliance/information-security/